Trustly en GDPR: welke gegevens hij ziet, bewaart en doorgeeft aan de bookmaker
Laden...
Een betaling is data – en GDPR vraagt zich af welke nodig is
Een lezer mailde me vorige maand: hij had via Trustly gestort, kreeg een mailbevestiging, en op die e-mail stonden zijn volledige naam, IBAN en het bedrag. Hij vroeg zich af wie wat zag, hoe lang het bewaard bleef en of hij dat mocht laten verwijderen. Goede vraag – en niemand had hem die uitgelegd op het moment van betalen.
De juridische realiteit is helderder dan de praktijk. Onder de AVG en PSD2 kent een Trustly-betaling tussen vier en zes datavelden die strikt nodig zijn. De rest is kosmetiek of compliance-verlenging. Wat je bookmaker daarvan ziet, is opnieuw een subset. En je hebt het recht om in beide schakels – Trustly én bookmaker – exact te zien wat ze van jou bewaren. Hieronder, met de blik van iemand die deze flow vele honderden keren heeft afgelegd.
Welke velden Trustly ophaalt bij elke betaling
Wanneer je op de Trustly-knop klikt en bij je bank-flow inlogt, gebeurt er meer dan een eenvoudige overschrijving. Trustly is een PISP – Payment Initiation Service Provider – onder PSD2. Dat statuut bepaalt wat hij wettelijk mag opvragen en wat niet.
De velden die Trustly hoe dan ook nodig heeft: je naam zoals geregistreerd bij de bank, IBAN waarvan je betaalt, het bedrag, de begunstigde (de bookmaker als rechtspersoon) en een transactie-ID. Daarnaast komt het saldo van de geselecteerde rekening even in beeld – niet om te bewaren, maar om te bevestigen dat de storting gedekt is. Dat is een operationele controle, geen profileringsmoment.
Wat soms ook gepasseerd wordt, hangt af van de Trustly-flow die de bookmaker gebruikt: bij Pay N Play voegt het systeem ook geboortedatum en adresvelden toe vanuit je bankgegevens om de KYC-laag bij de bookmaker in één keer mee af te ronden. Bij een gewone Express-storting blijft het bij betalingsdata. Niet onbelangrijk verschil als je nadenkt over wat Trustly daadwerkelijk doorgeeft.
Ter context: Trustly werkt aan ruim 12.000 banken in meer dan 30 landen. Elk van die banken heeft een eigen interface, dus de velden die Trustly ziet wisselen technisch licht per bankaansluiting. Wat principieel niet wisselt: hij mag alleen wat strikt nodig is voor de geïnitieerde betaling. Dat is dataminimalisatie zoals PSD2 het voorschrijft, en de AVG sluit daarop aan.
Wat Trustly expliciet niet doet: transactiegeschiedenis ophalen, andere rekeningen scannen of contactgegevens verzamelen die niets met de betaling van doen hebben. Een PISP heeft geen AISP-mandaat tenzij apart toegekend, en een bookmakerflow is altijd zuiver PISP.
Wat de bookmaker daarvan ziet
Bij een F1+ Belgische bookmaker komt aan de andere kant minder binnen dan veel mensen denken. De operator ziet bij elke storting: jouw naam, het bedrag, de transactie-ID en een hash of token waarmee Trustly de origin-account kan identificeren bij volgende stortingen of uitbetalingen. Hij ziet doorgaans niet je volledige IBAN in klare tekst – alleen voor uitbetalingen worden de laatste cijfers tonen voor zelfcontrole.
Bij Pay N Play zit het anders. Daar geeft Trustly meteen de KYC-set door: naam, geboortedatum, soms adres. De bookmaker gebruikt die set om je rijksregisternummer-controle bij EPIS en je leeftijdsverificatie automatisch af te wikkelen, zonder een aparte registratiestap met identiteitsbewijs. Sneller voor jou, meer data bij de bookmaker. Dat is een bewuste afweging.
De vraag die ik vaak krijg: kan een bookmaker mijn bankgegevens delen met derden, bijvoorbeeld een marketingpartner? Onder GDPR niet, tenzij je daar afzonderlijke toestemming voor geeft. De rechtsgrond voor het delen met Trustly zelf is “uitvoering van overeenkomst” – jij wilt storten, dus moet de operator met de PISP communiceren. Een marketingdoel valt niet onder die grondslag en vereist een opt-in die je standaard kan weigeren.
De EU staat ondertussen voor 36,4 procent van de wereldwijde open banking-activiteit, en 94 procent van de Europees gelicentieerde banken voldoet inmiddels aan de PSD2-conformiteitseisen voor 2025. Die infrastructuur is wat Trustly werken laat. Het laat ook zien dat de bescherming op papier breed verankerd is – wat je in de praktijk nog moet doen, is het zelf afdwingen.
Hoe lang gegevens bewaard blijven
Trustly is verplicht om transactiedata een aanzienlijke tijd te bewaren – niet voor marketing, wel voor antiwitwasregels en betaalwetgeving. De bewaartermijn die ze zelf publiceren ligt rond de tien jaar voor transactionele data, vijf jaar voor klantidentificatiegegevens onder hun KYC-procedures. Dat is conform de Zweedse en Europese AML-richtlijnen. Trustly is gevestigd in Stockholm en valt primair onder Zweeds toezicht.
Bij de bookmaker ligt het anders. F1+ operators in België moeten transactionele data tien jaar bewaren conform Belgische gokwet en boekhoudkundige verplichtingen. EPIS-controles en spelersgedrag rond zelfuitsluiting kennen specifieke bewaartermijnen vanuit de Kansspelcommissie. Niet alle data leeft even lang – accountgegevens kunnen na contractbeëindiging korter bewaard blijven, maar transactiebewijzen lopen door tot de wettelijke termijn afloopt.
Een vraag die ik vaak hoor: wat als ik mijn bookmakeraccount sluit? De bookmaker mag bewaartermijnen niet inkorten omdat jij het account sluit. Wettelijke verplichtingen staan boven jouw verzoek. Wel kan je vragen dat marketingvelden, voorkeursgegevens en niet-wettelijk-verplichte data verwijderd worden. Dat is een ander verzoek dan een algemene wissing.
Voor wie dieper wil duiken in hoe PSD2 en AVG samen de Trustly-laag inkapselen, raad ik aan om mijn dieper stuk over Trustly-veiligheid en PSD2-gegevensbescherming erbij te pakken – dat dekt de technische beveiligingslaag specifiek.
Je recht om inzage en wissing te eisen
Een lezer uit Antwerpen deed het vorig jaar netjes: hij stuurde een AVG-inzageverzoek naar Trustly via hun privacy-formulier, en kreeg binnen 28 dagen een PDF met al zijn transacties van de laatste drie jaar. Naam, IBAN, begunstigden, bedragen. Indrukwekkend volledig.
Wat je kan vragen onder GDPR: een kopie van alle persoonsgegevens (artikel 15), correctie van foutieve gegevens (artikel 16), wissing waar wettelijk mogelijk (artikel 17), beperking van verwerking (artikel 18) en gegevensoverdraagbaarheid (artikel 20). Bij een bookmaker richt je het verzoek aan de Data Protection Officer; bij Trustly via hun privacy-portaal of het support-formulier.
Wat realistisch verwijderd kan worden: marketingvoorkeuren, opt-in-sporen, niet-wettelijk-verplichte profielinformatie. Wat niet verwijderd wordt zolang de termijn loopt: transactiedata, KYC-gegevens, EPIS-controleresultaten, fiscaal relevante storting- en uitbetalingsoverzichten. Een verzoek tot wissing gericht op die data wordt geweigerd met verwijzing naar wettelijke bewaarplichten – en dat is correct binnen GDPR.
GDPR-vragen
Niet zonder afzonderlijke toestemming. De rechtsgrond voor het delen met Trustly is ‘uitvoering van overeenkomst’ – dat dekt de betalingsverwerking, niet meer. Marketingpartners of analyticsbedrijven krijgen je IBAN niet, tenzij je expliciet hebt opt-in gegeven. Check je privacyvoorkeuren in je bookmakeraccount; standaard staan die bij F1+ operators conservatief. Bij een operationele terugtrekking of overname zou Trustly verplicht zijn om data conform GDPR over te dragen of te vernietigen volgens de bewaartermijnen. Wettelijke verplichtingen – antiwitwasregels, transactionele archivering – blijven gelden bij de juridische opvolger. Voor jou betekent het concreet: bestaande Pay N Play-accounts bij bookmakers blijven werken, maar nieuwe stortingsroutes vragen wellicht om een ander betaalmiddel of opnieuw verifiëren.Kan de bookmaker mijn rekeningnummer delen met derden?
Wat gebeurt er met mijn gegevens als Trustly stopt in België?
Gemaakt door de redactie van 'Trustly Wedden'.
